Identificazione di errori 404 nel sito

[marine]

ho aggiunto una stringa che mostra all'eventuale visitatore Error 404 (Not Found) invece di Error 403 (Forbidden), fermo restando che l'errore registrato rimane sempre il 403

Ok, quindi lo spider di google percepisce il 404...

[sgiobbio]

no marine, lo spider di google continua a percepire 403.
404 è quello che viene mostrato al visitatore che eventualmente cerchi quell'URL.
Per tua comodità, posto anche il codice presente in .htaccess:

Codice: [Seleziona]

deny from all
ErrorDocument 403 '<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">\n<html><head>\n<title>404 Not Found</title>\n</head><body>\n<h1>Not Found</h1>\n<p>The requested URL was not found on this server.</p>\n</body></html>


[marine]

Ho anche capito che però, per la sicurezza del sito, il 403 è come una "ammissione" che quella risorsa esiste, e questo potrebbe essere un pericolo.

Per tua comodità, posto anche il codice presente in .htaccess:

Codice: deny from all
ErrorDocument 403 '<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">\n<html><head>\n<title>404 Not Found</title>\n</head><body>\n<h1>Not Found</h1>\n<p>The requested URL was no

Quindi questo tuo codice gabberebbe eventuali malintenzionati perchè a schermo vedrebbero un finto 404 mentre gli spider registrano un 403?

[sgiobbio]

Esattamente, marine.
Ovviamente il malintenzionato se vuole guarda "sorgente pagina" e vede che è un 403... dopodiché non so proprio cosa altro possa fare perché comunque si arena su un accesso negato.

Detto questo, non vedo chi potrebbero essere questi "malintenzionati" che, più o meno 2-3mila volte al giorno, cercano 2 indirizzi che non esistono, e che forse sono correlati con una "sincronizzazione contatti" effettuata da devices IOS.

Mesi fa fornimmo un indirizzo email ad un collaboratore in prova, che avrebbe dovuto utilizzare webmail.
Costui si defilò poco dopo e la sua email la cancellammo da cPanel.
Potrebbe magari essere il suo iPhone ad effettuare sistematicamente tentativi di sincronizzazione dei contatti, ma il problema è che gli indirizzi IP cambiano di continuo.

Quelli che tentano di collegarsi al sito lo fanno con indirizzi IP che cambiano più o meno ogni 2 giorni.

Quindi se avessi bloccato gli indirizzi IP avrei sempre rincorso: io bloccavo e l'indirizzo cambiava.
2mila tentativi al giorno con un indirizzo IP, poi il giorno dopo 0 tentativi con quell'indirizzo IP e altri 2mila con un altro indirizzo IP.
E avanti così... a 2mila al giorno.

Per questo ho postato più volte lo storico del problema, con i  tentativi che ho fatto per risolverlo e gli ultimi provvedimenti che adottato.
Fino ad adesso soltanto emaberg - che ringrazio di cuore - ha cercato di darmi qualche consiglio per quanto di sua conoscenza.

Siccome qui nel forum ci sono molti webmaster ed esperti, ho pensato che fosse il posto giusto per porre delle domande.
Non mi aspetto che nessuno "si sbatta" per me, ci mancherebbe, ma magari c'è qualcuno che ha un'idea migliore di me per venirne a capo.

[sgiobbio]

ad ogni modo, facendo tesoro dell'ironia di marine, il codice "gabbante" l'ho tolto. Ma non è quello il problema

[sgiobbio]

Credo che possa essere d'interesse alla discussione il ticket che ho aperto presso il mio Hosting, che domandava se potesse esserci una relazione fra il servizio webmail Horde che è stato chiuso a fine 2022 migrandolo a Roundcube e l'issue di questo topic.
Lo hanno escluso con questa replica:

The abnormal amount of 404 errors you are seeing, specifically involving the directories "/principals/" and "/.well-known/carddav", seems to be unrelated to the migration itself. These directories are not part of the standard setup for Roundcube or Horde webmail.
Given that you observed an increase in 404 errors starting in January 2023, which aligns with the creation of an email account for a co-worker who used an iOS device, there might indeed be a connection to the email synchronization on the iOS device. However, it's important to clarify that the creation of an email account should not directly trigger the appearance of these directories.
The directories "/principals/" and "/.well-known/carddav" are typically related to CalDAV and CardDAV protocols, which are used for calendar and contact synchronization. The appearance of these directories might be due to some configuration or synchronization settings on the iOS device.

Ma ancora più interessante è la risposta al mio secondo quesito, se potesse essere corretto l'avere creato intenzionalmente le 2 directories per ritornare un errore 403 invece di un 404:

Checking the configuration of iOS devices belonging to people outside your organization might indeed be challenging, as you don't have direct access to their devices or settings. In such cases, it becomes more complex to pinpoint the exact cause of the issue.
Since you have a report with IP addresses trying to access the two folders that did not exist initially, it's good that you have created these folders intentionally to return a "403 Forbidden" error instead of the previous "404 Not Found" error. This approach can be helpful in mitigating the impact of these requests. By returning a "403 Forbidden" status, you are effectively denying access to those specific directories, which can prevent further attempts to access them.
However, it's important to keep in mind that this is a reactive measure and may not address the root cause of the issue. The changing IP addresses every two days do raise suspicion, and it's possible that these requests are coming from multiple sources, including automated bots or malicious actors.
To further investigate and potentially resolve the situation, I recommend considering usage of Firewall Rules. Implementing firewall rules to block or restrict access from suspicious IP addresses or ranges. This can help in limiting unauthorized access attempts. Also I would suggest to keep all the software updated. Ensure that all your software, including CMS (like WordPress), plugins, and themes, are up-to-date to minimize vulnerabilities. Moreover implement strong password policies and consider two-factor authentication for user accounts.

[sgiobbio]

Infine, siccome anche il "correre dietro" ad indirizzi IP sempre nuovi e differenti bloccandoli con firewall rules non sarebbe una soluzione praticabile, c'è la soluzione dell'"Under Attack Mode" di Cloudflare:

I understand your concern regarding the changing IP addresses every two days, making it challenging to use Firewall Rules effectively. In such cases, relying solely on IP-based blocking may not be the most efficient approach.
Since the IP addresses change frequently, it's likely that the requests are coming from a distributed network of devices, possibly employing a botnet or similar techniques to obfuscate their origin. In these scenarios, implementing traditional IP-based blocking measures may not be sufficient to address the issue.
Considering the ongoing security concerns and the dynamic nature of the IP addresses attempting to access your Joomla website, I recommend activating the "Under Attack Mode" feature on Cloudflare to strengthen your website's defenses.
Cloudflare's "Under Attack Mode" is designed to protect your website from various types of online threats, including DDoS (Distributed Denial of Service) attacks, which often involve massive amounts of traffic coming from multiple IP addresses with the intention of overwhelming your server and causing downtime.
When you enable "Under Attack Mode," Cloudflare deploys additional security measures to identify and block malicious traffic, while still allowing legitimate visitors to access your site. Here are some of the key benefits of using this feature:

DDoS Protection: "Under Attack Mode" helps mitigate the impact of DDoS attacks by analyzing incoming traffic patterns and filtering out malicious requests. This ensures that your website remains accessible even during potential attack spikes.
IP Reputation Filtering: Cloudflare maintains a reputation database of known malicious IP addresses. "Under Attack Mode" leverages this information to block requests coming from IPs with a history of suspicious or malicious activities.
Bot Protection: The feature can help in identifying and blocking automated bots that might be responsible for the unusual requests and accesses you've been experiencing.
Challenge Page: In some cases, Cloudflare may present a challenge page to users if their behavior appears to be suspicious. This page helps distinguish between human visitors and potential automated bots.
Reduced Server Load: By offloading traffic filtering to Cloudflare's global network, your server's load is reduced, which can lead to improved performance and stability.

[sgiobbio]

Ho atteso un mese per vedere gli effetti dei miei sforzi rivolti a risolvere il problema, e oggi credo di poter postare un aggiornamento "di sostanza".

Gli script executions totali mensili si sono ridotti a meno di 1/3, scendendo da 600mila (che eguagliavano la soglia limite concessa dal mio hosting) a 190mila.
Gli errori 404 mensili sono passati da una media di 190 mila a 15 mila.

Tutto questo bloccando in Cloudflare le richieste PROPFIND.

Prima di operare questo blocco mi sono documentato con grande attenzione, appurando che non ospito nessun servizio che si appoggi a queste richieste, che sostanzialmente prevedono una sincronizzazione dei calendari (!!!)

Penso che il risultato ottenuto sia ottimo, ma preferisco non mettere RISOLTO in attesa di eventuali ulteriori sviluppi, o del parere di qualcuno di voi molto più esperto di me.